Autorizace požadavků do Služby Azure Storage
Každý požadavek provedený proti zabezpečenému prostředku ve službě Blob, File, Queue nebo Table Service musí být autorizovaný. Autorizace zajišťuje, že prostředky ve vašem účtu úložiště budou přístupné jenom tehdy, když chcete, a jenom uživatelům nebo aplikacím, kterým udělíte přístup.
Důležité
Pro zajištění optimálního zabezpečení Microsoft doporučuje používat Microsoft Entra ID se spravovanými identitami k autorizaci požadavků na data objektů blob, front a tabulek, kdykoli je to možné. Autorizace s využitím Microsoft Entra ID a spravovaných identit poskytuje vynikající zabezpečení a snadné použití oproti autorizaci pomocí sdíleného klíče. Další informace najdete v tématu Autorizace pomocí Microsoft Entra ID. Další informace o spravovaných identitách najdete v tématu Co jsou spravované identity pro prostředky Azure.
Pro prostředky hostované mimo Azure, jako jsou místní aplikace, můžete použít spravované identity prostřednictvím služby Azure Arc. Například aplikace spuštěné na serverech s podporou Azure Arc můžou používat spravované identity pro připojení ke službám Azure. Další informace najdete v tématu Ověřování prostředků Azure na serverech s podporou Azure Arc.
Pro scénáře, ve kterých se používají sdílené přístupové podpisy (SAS), Microsoft doporučuje použít SAS delegování uživatele. SAS delegování uživatele je zabezpečené pomocí přihlašovacích údajů Microsoft Entra místo klíče účtu. Informace o sdílených přístupových podpisech najdete v tématu Create SAS delegování uživatele.
Následující tabulka popisuje možnosti, které Azure Storage nabízí pro autorizaci přístupu k prostředkům:
| Artefakt Azure | Sdílený klíč (klíč účtu úložiště) | Sdílený přístupový podpis (SAS) | Microsoft Entra ID | Místní Active Directory Domain Services | Anonymní veřejný přístup pro čtení |
|---|---|---|---|---|---|
| Objekty blob Azure | Podporováno | Podporováno | Podporováno | Nepodporováno | Podporováno |
| Azure Files (SMB) | Podporováno | Nepodporováno | Podporováno s Microsoft Entra Doménové služby nebo Microsoft Entra Kerberos | Podporuje se, přihlašovací údaje se musí synchronizovat s Microsoft Entra ID | Nepodporováno |
| Azure Files (REST) | Podporováno | Podporováno | Podporováno | Nepodporováno | Nepodporováno |
| Fronty Azure | Podporováno | Podporováno | Podporováno | Nepodporuje se | Nepodporováno |
| Tabulky Azure | Podporováno | Podporováno | Podporováno | Nepodporováno | Nepodporováno |
Jednotlivé možnosti autorizace jsou stručně popsány níže:
Microsoft Entra ID:Microsoft Entra je cloudová služba microsoftu pro správu identit a přístupu. Microsoft Entra ID integrace je k dispozici pro služby Blob, File, Queue a Table. S Microsoft Entra ID můžete uživatelům, skupinám nebo aplikacím přiřadit jemně odstupňovaný přístup prostřednictvím řízení přístupu na základě role (RBAC). Informace o integraci Microsoft Entra ID se službou Azure Storage najdete v tématu Autorizace s Microsoft Entra ID.
Microsoft Entra Doménové služby autorizace pro Azure Files. Azure Files podporuje autorizaci na základě identity přes protokol SMB (Server Message Block) prostřednictvím Microsoft Entra Doménové služby. RBAC můžete použít k podrobné kontrole přístupu klienta k Azure Files prostředkům v účtu úložiště. Další informace týkající se ověřování Azure Files pomocí služby Domain Services najdete v tématu Azure Files ověřování na základě identity.
Autorizace služby Active Directory (AD) pro Azure Files. Azure Files podporuje autorizaci na základě identit přes protokol SMB prostřednictvím služby AD. Službu AD Domain Service můžete hostovat na místních počítačích nebo na virtuálních počítačích Azure. Přístup smb ke službě Files se podporuje pomocí přihlašovacích údajů AD z počítačů připojených k doméně, a to buď místně, nebo v Azure. RBAC můžete použít pro řízení přístupu na úrovni sdílené složky a seznamy DACL systému SOUBORŮ NTFS pro vynucení oprávnění na úrovni adresáře a souboru. Další informace týkající se ověřování Azure Files pomocí služby Domain Services najdete v tématu Azure Files ověřování na základě identity.
Sdílený klíč: Autorizace sdíleného klíče závisí na přístupových klíčích k účtu a dalších parametrech k vytvoření šifrovaného řetězce podpisu, který se předává v požadavku v autorizační hlavičce. Další informace o autorizaci pomocí sdíleného klíče najdete v tématu Autorizace pomocí sdíleného klíče.
Sdílené přístupové podpisy: Sdílené přístupové podpisy (SAS) delegují přístup ke konkrétnímu prostředku ve vašem účtu se zadanými oprávněními a v zadaném časovém intervalu. Další informace o SAS najdete v tématu Delegování přístupu pomocí sdíleného přístupového podpisu.
Anonymní přístup ke kontejnerům a objektům blob: Volitelně můžete prostředky objektů blob zveřejnit na úrovni kontejneru nebo objektu blob. Veřejný kontejner nebo objekt blob jsou přístupné všem uživatelům, kteří mají anonymní přístup ke čtení. Požadavky na čtení veřejných kontejnerů a objektů blob nevyžadují autorizaci. Další informace najdete v tématu Povolení veřejného přístupu pro čtení pro kontejnery a objekty blob ve službě Azure Blob Storage.
Tip
Ověřování a autorizace přístupu k datům objektů blob, souborů, front a tabulek pomocí Microsoft Entra ID poskytuje vynikající zabezpečení a snadné použití v případě jiných možností autorizace. Pokud například použijete Microsoft Entra ID, vyhnete se ukládání přístupových klíčů k vašemu kódu, jako je tomu u autorizace sdíleného klíče. I když u aplikací objektů blob a front můžete dál používat autorizaci pomocí sdíleného klíče, Microsoft doporučuje přechod na Microsoft Entra ID tam, kde je to možné.
Podobně můžete dál používat sdílené přístupové podpisy (SAS) k udělení jemně odstupňovaného přístupu k prostředkům v účtu úložiště, ale Microsoft Entra ID nabízí podobné možnosti, aniž byste museli spravovat tokeny SAS nebo se museli starat o odvolání ohroženého SAS.
Další informace o integraci Microsoft Entra ID ve službě Azure Storage najdete v tématu Autorizace přístupu k objektům blob a frontám Azure pomocí Microsoft Entra ID.